|
一����、首先診斷是否為ARP病毒攻擊
1����、當(dāng)發(fā)現(xiàn)上網(wǎng)明顯變慢��,或者突然掉線時(shí)�,我們可以用arp-命令來(lái)檢查ARP表:(點(diǎn)擊“開(kāi)始”按鈕-選擇“運(yùn)行”-輸入“cmd”點(diǎn)擊"確定"按鈕���,在窗口中輸入“arp-a”命令)如果發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址發(fā)生了改變���,或者發(fā)現(xiàn)有很多IP指向同一個(gè)物理地址,那么肯定就是ARP欺騙所致�。
2�����、利用AntiARPSniffer軟件查看(詳細(xì)使用略)����。
二�、找出ARP病毒主機(jī)
1��、用“arp–d”命令,只能臨時(shí)解決上網(wǎng)問(wèn)題,要從根本上解決問(wèn)題��,就得找到病毒主機(jī)���。通過(guò)上面的arp–a命令����,可以判定改變了的網(wǎng)關(guān)MAC地址或多個(gè)IP指向的物理地址,就是病毒機(jī)的MAC地址����。哪么對(duì)應(yīng)這個(gè)MAC地址的主機(jī)又是哪一臺(tái)呢���,windows中有ipconfig/all命令查看每臺(tái)的信息����,但如果電腦數(shù)目多話�����,一臺(tái)臺(tái)查下去不是辦法�,因此可以下載一個(gè)叫“NBTSCAN”的軟件,它可以取到PC的真實(shí)IP地址和MAC地址�����。
命令:“nbtscan-r192.168.80.0/24”(搜索整個(gè)192.168.80.0/24網(wǎng)段,即192.168.80.1-192.168.80.254)�����;或“nbtscan192.168.80.25-137”搜索192.168.80.25-137網(wǎng)段��,即192.168.80.25-192.168.80.137��。輸出結(jié)果第一列是IP地址���,最后一列是MAC地址�。這樣就可找到病毒主機(jī)的IP地址�����。
2�、如果手頭一下沒(méi)這個(gè)軟件怎么辦呢����?這時(shí)也可在客戶機(jī)運(yùn)行路由跟蹤命令如:tracert–dwww.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP�,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址����,由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP地址的主機(jī)就是罪魁禍?zhǔn)住?/p>
當(dāng)然找到了IP之后���,接下來(lái)是要找到這個(gè)IP具體所對(duì)應(yīng)的機(jī)子了�����,如果你每臺(tái)電腦編了號(hào)����,并使用固定IP���,IP的設(shè)置也有規(guī)律的話�,那么就很快找到了。但如果不是上面這種情況����,IP設(shè)置又無(wú)規(guī)律��,或者IP是動(dòng)態(tài)獲取的那該怎么辦呢��?難道還是要一個(gè)個(gè)去查�?非也�!你可以這樣:把一臺(tái)機(jī)器的IP地址設(shè)置成與作祟機(jī)相同的相同,然后造成IP地址沖突��,使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)�。
三、處理病毒主機(jī)
1����、用殺毒軟件查毒��,殺毒�����。
2���、建議重裝系統(tǒng),一了百了���。(當(dāng)然你應(yīng)注意除系統(tǒng)盤(pán)外其他盤(pán)有無(wú)病毒)
四���、如何防范ARP病毒攻擊
1����、從影響網(wǎng)絡(luò)連接通暢的方式來(lái)看,ARP欺騙分為二種�,一種是對(duì)路由器ARP表的欺騙;另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙�����。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址����,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中���,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址����,造成正常PC無(wú)法收到信息����。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)�。它的原理是建立假網(wǎng)關(guān)����,讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)����,而不是通過(guò)正常的路由器途徑上網(wǎng)�����。在PC看來(lái)��,就是上不了網(wǎng)了��,“網(wǎng)絡(luò)掉線了”���。因此很多人建議用戶采用雙向綁定的方法解決并且防止ARP欺騙���,這個(gè)確實(shí)是最好解決的辦法��,但如果電腦數(shù)量多的情況下����,在路由器上作綁定工作量將很大,我個(gè)人認(rèn)為主要做好在PC上綁定路由器的IP和MAC地址就行了���,在PC上綁定可以按下面方法做:
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
